攻防世界-upload1 打开之后发现是一个上传页面,第一想法上传一句话木马,使用菜刀连接,尝试发现只能上传图片 F12查看源码,发现 if([‘jpg’,‘png’].contains(ext)),就禁止报错弹窗。既然过滤是在前端,想到使用burpsuit抓包,修改后缀名 写一句话木马并保存文件格式为.jpg,使用burpsuit抓包,修改后缀名为.php。 我这没装菜刀,使用御剑连接 发现flag:cyberpeace{789aee8b9c1dbec5bd9e01a8673afc9d}